*Rosita Rijtano è Bertha Challenge Fellow 2026

Ancora nessuna collaborazione. Paragon, società israeliana di spyware, non ha fornito informazioni alla giustizia italiana, impegnata a far luce sulle infezioni con il software spia Graphite scoperte in Italia a inizio 2025. A oltre un anno dall’invio delle richieste formali alle autorità di Tel Aviv, i magistrati stanno ancora aspettando risposte utili ad avere riscontri tecnici sugli attacchi spyware contro le vittime. È quanto può documentare un'inchiesta di Wired Italia, che attraverso fonti qualificate, documenti ufficiali e richieste di accesso civico agli atti ritorna sul caso Paragon.

Pubblicamente l'azienda israeliana, fondata nel 2019, ha più volte dichiarato di essere disposta a collaborare per fare chiarezza sui casi di presunti abusi riguardanti i propri prodotti, ma le autorità italiane stanno ancora aspettando risposta. La questione, però, va oltre Paragon e riguarda il ruolo che gioca il governo di Israele nel blindare le aziende che considera sensibili.

Pegasus, lo spyware di un altro colosso israeliano del settore, Nso, è finito al centro di scandali su presunti abusi in Polonia, Spagna e Ungheria. E secondo attivisti, giornalisti e avvocati intervistati da Wired Italia per questa inchiesta, la mancata collaborazione da parte di autorità e aziende israeliane ha già ostacolato l’accertamento delle responsabilità.

Il caso Paragon in Italia

Paragon finisce sotto scrutinio a inizio 2025. A marzo WhatsApp e il centro di ricerca dell’università di Toronto Citizen Lab dicono di aver individuato Graphite sui telefoni di giornalisti e attivisti italiani. Lo spyware è un programma malevolo, altamente sofisticato, che può essere installato su un dispositivo con un attacco zero click, cioè che non prevede alcuna azione da parte della vittima. Dopo essere stato inoculato, può monitorare le chat su WhatsApp, Signal e Telegram.

Il governo italiano ha poi ammesso che i servizi segreti nazionali hanno usato Graphite contro Beppe Caccia e Luca Casarini, co-fondatori di Mediterranea Saving Humans, un’organizzazione non governativa che soccorre i migranti nel mar Mediterraneo. Mentre ha sempre negato di aver preso di mira Francesco Cancellato e Ciro Pellegrino, rispettivamente direttore e capocronista della testata Fanpage, che il 31 gennaio e il 29 aprile 2025 sono stati avvisati da Meta e Apple di essere stati bersaglio di uno ”spyware mercenario", come Graphite.

Paragon può svolgere un ruolo chiave per chiarire la vicenda. “Paragon è la sola a poter investigare su Paragon”, dice a Wired Italia un esperto di sicurezza informatica, che ha scelto l’anonimato per poter contribuire a questa inchiesta. La stessa azienda ha detto di poter essere d'aiuto.

La magistratura italiana ha inviato rogatorie internazionali, un istituto che prevede che l’autorità giudiziaria di un paese (in questo caso, l’Italia) chieda la collaborazione di quella di un altro stato (Israele) per compiere atti in sua vece. In questo caso, richiedere a Paragon informazioni sui propri software, sui clienti e sulle attribuzioni degli attacchi, che in queste circostanze sono molto complesse. Secondo due fonti qualificate di Wired Italia, però, al momento non sono arrivati riscontri.

Lo “scudo” di Israele

“Queste imprese non vogliono rivelare informazioni riservate sui propri software e sui propri clienti, ma non sono autonome”, spiega a Wired Italia Eitay Mack, avvocato per i diritti umani che da anni lotta contro gli abusi commessi con i software spia israeliani al di fuori di Israele. Le aziende di spyware, infatti, si occupano di una tecnologia considerata strategica per la sicurezza e le relazioni internazionali di Tel Aviv. Nel 2024, un'inchiesta del New York Times ha mostrato come Nso sia stata usata dal primo ministro Benjamin Netanyahu “per promuovere gli interessi del paese nel mondo”.

Secondo Mack, questo status permette alle compagnie del settore di godere di una sorta di “zona grigia”: pur essendo società private, operano per conto del governo sotto il controllo del ministero israeliano della Difesa, che concede le licenze necessarie per l'esportazione dei software spia e dà l’ultima approvazione per la cooperazione con le autorità straniere.

“Con il suo via libera, le aziende potrebbero anche essere obbligate a collaborare con un'autorità giudiziaria estera, ma non è mai successo perché per Tel Aviv queste imprese non sono responsabili di quello che succede nei paesi dei loro clienti”, aggiunge l'avvocato. Lo suggeriscono anche risposte ufficiali a due richieste di accesso civico, ottenute da Wired Italia attraverso una fonte.

La prima riguarda Paragon. Il 9 aprile scorso il ministero guidato da Israel Katz ha dichiarato di aver verificato cinque volte le attività di export dell'azienda e il rispetto delle licenze, ma di non aver riscontrato alcuna irregolarità.

La seconda, invece, riguarda Nso. Soggetta a nove controlli, non è mai stata sanzionata per la violazione di licenze di esportazione. Eppure il suo prodotto di punta, Pegasus, è stato al centro del più grande scandalo per presunti abusi realizzati con uno spyware in Europa. Violazioni che sarebbero avvenute anche in molti altri paesi del mondo, inclusi Messico, Emirati Arabi Uniti e Arabia Saudita. Per le autorità di Tel Aviv, Nso non avrebbe rispettato le regole sulle licenze solo una volta, nel 2019, e rispetto alle attività di marketing. La sanzione? Appena 355.950 shekel, circa 91mila euro (considerando il cambio ai tempi della multa).

Secondo attivisti, politici e giornalisti, lo “scudo” di Tel Aviv per i produttori di spyware ha già avuto ripercussioni in tutta Europa, ostacolando la giustizia. A gennaio 2026 l'Alta corte spagnola ha chiuso un'inchiesta sull'utilizzo di Pegasus contro alcuni politici, citando proprio la mancanza di collaborazione da parte delle autorità israeliane. Problemi simili si sono verificati anche in Polonia. “Nso non ha mai collaborato con le autorità”, conferma a Wired Italia Krzysztof Brejza, eurodeputato del Partito popolare europeo, che è stato spiato con Pegasus mentre faceva campagna elettorale contro l'allora partito di governo polacco (Diritto e Giustizia), e ancora aspetta di sapere chi siano stati i responsabili.

C’è stato anche un tentativo di aprire un'indagine penale contro Nso direttamente a Tel Aviv. Lo ha promosso l’Hungarian Civil Liberties Union, una ong che rappresenta diverse vittime ungheresi di Pegasus. Il giornalista d’inchiesta Szabolcs Panyi, finito tra gli obiettivi, spiega: “L’associazione ha cercato di sostenere che Israele non avrebbe dovuto concedere a Nso la licenza per l’export in Ungheria”. In quel caso il procuratore generale di Tel Aviv delegò la pratica alla polizia, anch’essa cliente di Nso. L'inchiesta non è mai stata aperta.

Ora la vicenda di Paragon in Italia potrebbe seguire un destino simile. Per John Scott-Railton, ricercatore del Citizen Lab, "le società di spyware si presentano come alleate delle forze dell’ordine, ma scelgono quali leggi rispettare e quali ignorare, sfruttando giurisdizioni diverse. Se davvero volessero contrastare gli abusi, collaborerebbero con tutte le indagini delle autorità competenti. Invece – aggiunge – dove ci sono abusi ci sono anche vittime a cui è stata negata giustizia. Non cancellerebbe il danno, ma queste aziende non riescono nemmeno a chiedere scusa".

Wired Italia ha contattato le autorità israeliane, Paragon e Nso per ottenere un riscontro in merito ai contenuti di questa inchiesta, ma al momento della pubblicazione dell'articolo non ha ricevuto alcuna risposta.

Cambio di rotta?

Fondata dall’ex primo ministro israeliano Ehud Barak e da Ehud Schneorson, ex comandante dell’unità d’intelligence militare 8200, nel 2024 Paragon è stata venduta a un’azienda di cybersicurezza statunitense, Red Lattice, per oltre mezzo miliardo di dollari. L’acquirente è controllata da AE Industrial Partners, una società di investimento specializzata in aviazione, difesa e sicurezza interna, che lavora con diverse agenzie governative degli Stati Uniti.

Fin dall’inizio, la compagnia ha cercato di presentarsi come un soggetto più responsabile all’interno dell’opaca industria degli spyware, sostenendo di lavorare solo con "Paesi democratici" e prendendo le distanze da Nso. Negli ultimi due anni, però, alcune sue scelte sono state criticate dalle organizzazioni internazionali che difendono i diritti umani. Nel 2024 Wired ha rivelato per prima un contratto da 2 milioni di dollari con l’Ice, l’agenzia statunitense per l’immigrazione e il controllo delle frontiere che, da quando Donald Trump è tornato alla Casa Bianca, ha aumentato le deportazioni dei migranti e ampliato i propri poteri di sorveglianza.

Natalia Krapiva di Access Now, ong statunitense per i diritti digitali, è netta: "I ripetuti scandali, anche in Europa, dimostrano che non basta dichiarare di vendere solo alle democrazie". A giugno 2025 l’associazione, insieme ad altre organizzazioni non governative, ha inviato a Paragon una lettera aperta, nella quale si chiede di spiegare quali garanzie abbia adottato per individuare e segnalare gli abusi in tempo reale, quali dati raccolga e dove siano conservati, chi possa accedervi e se esistano procedure per aiutare le vittime. "Ma l’azienda ha rifiutato ogni confronto, facendoci sapere tramite intermediari che non parla con noi", aggiunge Krapiva.

Paragon vs governo italiano

Il caso italiano è il banco di prova di Paragon. Tutto inizia il 31 gennaio 2025, quando WhatsApp comunica a 90 utenti europei di essere stati attaccati da Graphite. Gli italiani sono sette. Uno di loro è Francesco Cancellato, direttore di Fanpage. Gli altri nomi certi sono i già citati Beppe Caccia e Luca Casarini (Mediterranea), il consulente politico Francesco Nicodemo e, secondo un’inchiesta della testata di inchiesta IrpiMedia, l’imprenditore Francesco Caltagirone.

Il 29 aprile 2025 anche Apple invia una notifica ad alcuni clienti italiani, avvisandoli di essere finiti nel mirino di "un attaccante sofisticato". Ma non specifica né quanti siano né se Paragon sia coinvolta. Tra questi c’è un altro giornalista di Fanpage, Ciro Pellegrino, che a giugno 2025 riceve dal Citizen Lab la notizia di avere tracce di Graphite sul proprio telefono, "con alto grado di confidenza".

In quel momento risultano solo due contratti tra Paragon e le autorità italiane, per un valore complessivo di 2 milioni di euro: uno con l’Aisi, l’intelligence interna, e l’altro con l’Aise, quella estera. Stando a una fonte qualificata consultata da Wired Italia, quest’ultimo è il più rilevante, perché consente di intercettare un numero più alto di obiettivi, anche oltre confine.

Gli investigatori non escludono che la chiave del caso possa trovarsi in un’altra inchiesta, quella su Giuseppe Del Deo, ex vicedirettore del Dipartimento delle informazioni per la sicurezza (Dis), a cui fanno capo entrambi i rami dei servizi segreti italiani. Per la procura di Roma, Del Deo avrebbe usato banche dati e strumenti degli 007 "per scopi privati" e nel decreto di perquisizione del 17 aprile 2026, ottenuto da Wired Italia, si fa riferimento a un "prodotto israeliano".

Lo scandalo Paragon ha anche innescato un rimpallo di responsabilità senza precedenti tra il produttore di spyware e lo Stato italiano. In un comunicato pubblicato dal quotidiano israeliano Haaretz a febbraio 2025, pochi giorni dopo l’esplosione del caso spyware, l’azienda sostiene di aver offerto alle autorità italiane un modo per verificare quanto accaduto e di aver interrotto i contratti dopo il loro rifiuto.

Di tutt’altro avviso il Copasir. Il comitato parlamentare che vigila sui servizi segreti italiani, composto da maggioranza e opposizione, sostiene che la decisione di interrompere i rapporti sia stata reciproca e che il supporto tecnico di Paragon non fosse necessario, perché la verifica poteva essere svolta in autonomia.

A suggerire al Copasir di rifiutare il supporto della società di Tel Aviv, però, sono stati gli stessi 007. Una proposta giudicata "inaccettabile" perché avrebbe "gravemente compromesso" l’immagine dell’intelligence italiana "agli occhi della comunità internazionale" ed esposto "dati classificati", si legge in una nota del comitato. Il Copasir ha anche minacciato di rendere pubblica l’audizione di Paragon, esponendo potenzialmente i suoi segreti commerciali, ma non lo ha mai fatto.

Contraddizioni, omissioni e no comment

Il comitato ha poi liquidato la vicenda di Cancellato scrivendo che il giornalista non è stato spiato dai servizi segreti con Graphite. E non si è mai occupato di Ciro Pellegrino. Una parziale retromarcia è arrivata solo a febbraio 2026, quando sono state depositate le analisi tecniche richieste dalle procure di Roma e Napoli, che continuano a indagare sulla vicenda, coordinate dalla Direzione distrettuale antimafia e antiterrorismo. Gli esperti hanno individuato "anomalie compatibili con attività di Graphite nei database WhatsApp collegati a tre telefoni Android", cioè quelli dei due attivisti di Mediterranea e di Cancellato.

Per il direttore di Fanpage le indagini proseguono "per individuare i responsabili del tentativo di accesso abusivo e di intercettazione illecita". Diversa, invece, la situazione per Pellegrino, perché sul suo iPhone non è stato possibile stabilire la presenza di Graphite. Le autorità giudiziarie non hanno risposto alla richiesta di commento di Wired Italia.

È proprio nel caso di Pellegrino che il silenzio di Paragon pesa di più. Lo dimostra l’analisi degli smartphone consegnata dagli esperti alle procure e consultata da Wired Italia. Sono gli stessi tecnici a scrivere che non riescono a trovare tracce di Graphite perché non sanno come sia fatto né quali siano i segni che lascia, segnalando anche i "pochi dettagli" forniti dal Citizen Lab. Per questo servirebbe il supporto del produttore richiesto attraverso le rogatorie internazionali.

"I ricercatori del Citizen Lab sono tra i massimi esperti di spyware al mondo e sono stati chiari: il mio telefono è stato attaccato con Graphite", dice Pellegrino, mettendo in guardia: "Oggi questa tecnologia è nelle mani di pochi, ma con il tempo svilupparla diventerà più facile. Se non piantiamo dei paletti adesso che garanzie abbiamo che domani non siano prese di mira molte più persone? Soprattutto se parliamo di aziende che dicono di vendere solo ai governi, senza però un possibile controllo indipendente. Non credo che governo, Copasir e autorità giudiziaria abbiano fatto tutti gli sforzi necessari per scoprire la verità", conclude il giornalista.

Dalla consulenza tecnica emerge anche un altro elemento inquietante. Gli esperti descrivono attività anomale compatibili con "manipolazioni successive alla compromissione". Come se Graphite fosse progettato per cancellare le proprie tracce. La maggior parte di queste anomalie si concentra tra il 12 e il 16 dicembre, proprio nella finestra tra la scoperta della vulnerabilità da parte di WhatsApp, l’11 dicembre 2025, e la sua correzione, il 17 dicembre.

Per l’avvocato Mack l’impasse finisce per favorire "tutti gli attori di questo triangolo", a cui "fa comodo tirarla per le lunghe e non andare avanti, perché nessuno ha interesse ad auto-incriminarsi: non il governo italiano, non quello israeliano e non l’azienda".

Rosita Rijtano è Bertha Challenge Fellow 2026. Questa inchiesta è stata realizzata con il supporto della Bertha Challenge Fellowship.